קליפורניה: ה'מיני GDPR' כבר זוכה לתיקון חקיקה ראשון

הדיו טרם יבשה על חקיקת הפרטיות החדשה של קליפורניה שהתקבלה לפני כחודשיים, והמחוקק בקליפורניה כבר מעביר תיקון ראשון לחוק. בין עיקרי השינויים בתיקון לחוק:

  • הפחתת גובה הקנס שהתובע הכללי של קליפורניה רשאי להשית על ארגונים מפרים - עד 2,500 דולר להפרה ועד 7,500 דולר להפרה מכוונת.
  • השמטת החובה שהחוק המקורי הטיל על תובעים פרטיים להודיע לתובע הכללי לפני הגשת תביעה אזרחית על הפרת החוק. תובעים פרטיים רשאים לתבוע בגין הפרת החוק רק במקרה בו הארגון הנתבע כשל ביישום אמצעי הגנת מידע נאותים וכשלון זה הוביל לפריצה למידע או זליגתו.
  • התיקון מעניק אורכה של חצי שנה נוספת לתובע הכללי להתקין תקנות מכוח החוק - עד יולי 2020. בשל כך, כניסת החוק לתוקף עשויה להדחות עד יולי 2020 (במקום ינואר 2020).
  • הבהרה כי מידע כדוגמת כתובת IP, היסטוריית גלישה ונתוני מיקום יחשבו ל"מידע אישי" רק אם המידע מזהה צרכן, נוגע לצרכן, מתאר אותו, ניתן לשיוך לצרכן או נקשר במישרין או בעקיפין אליו. law.co.il מעיר כי התיקון עשוי להרחיב את הגדרת "מידע אישי" להיקפים שעולים אפילו על הגדרתו ב-GDPR - מאחר שלפי התיקון די בכך שהמידע "נוגע לצרכן" או "נקשר לצרכן", אפילו שאינו מזהה אותו במישרין או בעקיפין (כדרישת ה-GDPR).
  • התיקון פוטר מהוראות החוק ארגונים שכפופים להוראות חוק פדרליות מקבילות בתחום הפרטיות, כדוגמת החקיקה הפדרלית להגנת פרטיות במידע רפואי (HIPAA) והחקיקה הפדרלית להגנת פרטיות במידע על צרכנים של מוסדות פיננסיים (Gramm-Leach-Bliley Act).

התיקון טעון אישור של מושל קליפורניה.